网络信息审计(共12篇)
网络信息审计 篇1
信息系统审计由国家审计机关、企业内部审计部门和会计师事务所等来实施,因此不同的审计主体对信息系统审计的定位也不同。网络环境下政府信息系统审计,指政府审计机关执行审计监督职能的需要,利用计算机网络进行审计工作,其主要表现形式是审计工作不再依靠纸质文件及单据的传输,而是利用计算机、网络和现代通讯技术,对被审单位信息系统及其内部控制和流程开展的一系列综合检查、评价,从而评估被审计单位信息系统对企业的日常的经济业务产生影响的程度,保证信息系统对企业经营业务活动产生正面的影响。目前先进的信息系统审计理论、审计技术和审计实施方法大都是由国外根据本国实际情况提出,并且主要针对内部审计部门和会计师事务所,并不完全适用于我国政府审计。本文针对网络环境下政府审计工作发生的变化进行分析并提出了相关对策。
一、网络环境下政府信息系统审计的现状分析
(一)信息系统审计标准规范缺失
信息系统审计是由国外组织提出的,我国引入的时间较短,目前还没有建立起适合我国政府信息系统审计的审计标准和规范。在这种情况下,政府审计机关更多的运用外国组织制定的标准来开展信息系统审计,然而并不适用于我国的实际情况。例如,一般被审单位在信息系统建设时,由于资金、成本和客观环境的考虑,对硬件的购置、系统功能和人员的配置方面做出衡量和取舍。因此,被审单位的信息系统在客观条件的限制下都存在一定的缺陷和不足,如果不考虑成本效益问题,单纯审查信息系统的完整性、安全性和可靠性,则审计人员容易发表片面的审计结论。
(二)财务数据电子化增大审计线索隐蔽性
政府信息系统审计的目标是经济业务的审计监督,因此政府审计工作的重点在于被审单位财务资料的正确性和可靠性。在对传统的手工会计进行审计时,审计人员只对会计凭证、会计账簿、会计报表等会计资料完整性、正确性和可靠性进行审计,因为这些资料都有纸质的文件保存,交易过程有文字记录,有相关负责人签字,每笔交易业务都有完整的审计证据。然而在网络环境下,纸质记录消失了,取而代之的是电子数据的处理,即业务数据进入企业信息系统中,然后又由会计软件自动生成会计账簿及报表。大量的原始凭证的减少,会计数据之间直接对应关系的模糊,业务处理和会计数据的高度集成,使得系统输出数据与手工计算的结果可能不一致。特别是被审单位有关人员可能在系统中嵌入非法程序,篡改了会计数据,从而给审计人员打印出虚假的财务报表,审计人员很难从中发现审计线索。
(三)审计范围扩大增加审计工作的难度
网络环境下,政府信息系统审计的特点和信息系统的固有风险决定了审计的范围发生了变化。首先,任何计算机系统都存在着硬件、软件和网络本身出现故障导致系统数据丢失甚至瘫痪的风险;其次,由于互联网系统具有分散性和开放性等特点,信息系统面临着电子财务数据被非法访问、篡改和破坏的风险;再次,由于财务数据电子化,保存电子数据的磁盘和磁带比纸质的凭证、账簿更加容易破坏,并且破坏后更加难以恢复;最后,由于企业内部控制薄弱,企业内部人员利用工作之便,嵌入非法程序,从而达到对会计数据的非法访问、篡改和泄密。因此,审计人员应该把信息系统看做是由硬件、软件、数据、人员管理和控制制度等组成的综合系统,审计人员除了完成传统审计内容之外,审计的重点还应该包括企业信息系统组织控制、系统安全控制、系统开发与维护控制、硬件及会计软件控制和操作人员权限的控制。
(四)审计人员知识局限性降低审计结论准确性
信息系统审计技术方法的先进性以及审计人员自身素质的高低已成为影响审计质量的重要因素。首先,网络环境下信息系统审计的技术发展滞后,增加了审计的检查风险。在信息技术飞速发展的强大带动下,信息系统已从最初部门内信息集成发展到企业集团间集成阶段。在网络环境下,传统的信息系统审计技术,如测试数据法、平行模拟法等已不再完全适合。网络环境下信息系统审计要求动态取证,即在系统运行过程中进行取证,审计人员不仅要完成审计任务,而且还不能干扰被审计单位信息系统正常工作;其次,审计人员素质不高,增加了审计的检查风险。网络环境下审计人员的主要工作不仅是审计企业财务状况以及所取得经营成果的数字本身,还包括审计企业财务数据在计算机系统中形成的过程。因此,作为政府信息系统审计人员,不仅要掌握财务会计知识、经济管理方法,还要掌握网路技术、计算机技术和现代通讯技术。然而这种复合型审计人才目前还很少,从而导致了审计效率低下,审计质量不高,也给信息系统审计带来检查风险。
二、网络环境下信息系统审计的技术改进
(一)程序追踪
程序追踪是一种对给定业务,跟踪被审计程序处理步骤的审查技术,一般可由追踪软件来完成。该方法的优点是,可列出被审计程序中什么指令被执行以及按什么顺序执行,最终可以查出被审程序中的非法指令。程序追踪法是为了适应各种数据处理的特殊要求,保证数据处理的完整、准确,并且从经济业务的原始凭证跟踪审查到记账凭证、账簿和报表。程序追踪法包括业务流程审计、输入输出控制审计和程序执行控制审计。被审单位的信息系统一般都有较为明确的业务流程,因此,审计人员可以使用追踪程序跟踪信息系统的数据处理过程、系统工作流程和程序运行过程,并且把追踪到的资料保存到特定的文件夹中,并且定期发送到政府审计机关的数据库中,审计人员根据收到的资料可以了解被审单位经济业务的产生、审批、数据输入,信息输出,操作员操作记录,业务是否按照信息系统规定的流程进行处理,从而获得审计证据。具体如图1所示:
(二)管理控制测试矩阵
信息系统是由硬件、软件、数据、人员管理和控制制度等组成的综合系统,但是在审计过程中,审计人员容易片面关注硬件的安全性和软件的正确性、完整性、可靠性等方面,而忽略了人和制度对经济业务的影响。管理测试矩阵(如表1)针对企业内部控制而设计,审计人员可以采用检查控制文档、问卷调查、会谈、观察等手段进行。首先是对硬件安全性和软件系统的检查,测试的主要目标检查控制措施是否能够防止来自硬件的失灵、计算机网络黑客入侵、病毒感染和具有特权员工的各种破坏行为,保障系统正常工作;其次是内部控制制度的测试,审计人员应对被审单位信息系统的内部控制制度健全性和实际执行情况进行符合性测试,了解被审单位是否制定了权责分离的规章制度,对不同级别的职权是否授予了不同的权限,业务人员的工作职权是否明确清晰;信息部门对系统的开发和维护是否遵循一定的标准,是否保存操作日志,数据的备份与软件的管理是否由不同的人来承担。审计人员最终通过完成管理控制测试矩阵了解被审单位内部控制制度是否完善和执行是否有效,从而发现薄弱环节。
(三)实时专家系统
随着人工智能技术的发展,基于专家系统的各种审计软件系统也在不断的普及和发展。实时专家系统是一种智能化的系统,它包含了财务会计、经济管理领域的知识和计算机技术、网络技术以及现代通讯技术,审计人员能够使用专家系统帮助他们来完成审计工作中的证据收集和证据分析工作,以此来弥补审计人员知识和经验的不足。专家系统主要有知识库管理系统、推理机等部分。知识库管理系统包括财务会计、经济管理领域的基本知识、计算机网络处理技术、常用的审计工具以及成功的审计案例库。推理机的功能主要是查询和预警分析。网络环境下,政府审计人员可以根据实时接收到的资料,将数据输入专家系统,推理机可根据系统知识库的数据,可以完成以下分析检查:首先,检查被审单位信息系统程序代码,即对被审程序逐条加以审查,以验证程序的合法性、正确性;其次,通过分析被审单位的系统流程来核查被审程序是否可靠和处理逻辑是否正确;最后,通过专家系统知识库中存储的数据测试程序,将被审单位的实际业务的财务数据输入,并将输出的结果与被审单位信息系统得到的结果比较,如果一致,说明被审单位信息系统功能正常,反之则可以发现审计线索。(如图2)
网络环境下的政府信息系统审计过程中,大量的财务数据和内部控制都是由计算机系统完成,更多的风险和控制措施转移到信息系统中。因此,政府审计人员要更好地履行监督经济活动职能,就必须掌握更多新的审计方法和技能,相关审计方法仍需要在实践中不断地检验和改进。
参考文献
[1]吴沁红:《第八届全国会计信息化年会综述》,《会计研究》2009年第7期。
[2]李青春:《试论政府信息系统审计的定义、产生动因与影响因素》,《科技管理研究》2009年第1期。
[3]王振武:《信息系统审计技术研究》,《东北财经大学学报》2009年第4期。
[4]吴沁红、杨周南:《并行审计技术探讨》,《审计研究》2002年第1期。
网络信息审计 篇2
摘要:网络技术的使用标志着一个新的时代――网络时代的开始,网络经济改变了传统的企业管理模式、经营模式和会计模式。为了适应网络时代发展,审计理论与实务必须有全面的创新,本文将从审计对象、审计技术、审计业务方面谈审计的创新。
??
在我们跨入21世纪之际,由现代信息技术,特别是网络技术引发的全球信息化浪潮冲击着传统社会生活的每一个角落,网络化、数据化、知识化已成为时代的主旋率,一个新的时代――网络时代开始。网络时代整个社会经济的产生结构和劳动结构发生了改变,整个社会经济成为了与电子商务紧密相连的网络经济。这种全球化的、高速度、低成本、虚拟化的,不断创新的经济模型改变了传统的企业管理模式、经营模式和会计模式,与其紧密相连的审计在网络时代的创新也就成为了必然。
一、审计对象的创新――电子商务审计?
以网络为基础的电子商务广义上指通过各类计算机网络进行的一切商业活动。电子商务以及低成本、高效率等特征吸引着大多数企业,企业纷纷通过建立自己的网站或网络服务公司的商业网站,拓展商贸渠道,进行网上交易、网上支付结算,并使信息网络化。企业经营活动和经营活动的信息载体的拓展也就是审计对象的拓展。另外,以电子商务为基础而形成的各种虚拟企业,构成了网络经济中经营主体的一部分,这种新型的经营主体将会被纳为审计对象。因此,网上交易审计,网上支付审计,虚拟企业的审计便构成电子商务审计的具体内容。?
(一)网上交易审计。当今为了适应网络、通信和信息技术的快速发展,企事业单位都在改变自己的组织结构和运行方式,相继拓展电子商务业务。电子商务可以扩展市场,增加客户数量,并能记载反映客户对产品的偏好,通过电子商务,企业可以缩短企业运作的周期,降低商务成本。在由Cahers出版公司对400家进行的调查中,52%的拥有千人以上员工的公司把网络世界视作扩大市场份额的最好志气注册会计师在审计客户传统的购产销业务之外,还必须对客户网络进行的交易即网上购销业务进行审计。进行网上交易审计时,要注意到网上交易的无纸质电子凭证、电子单据,不受空间限制,瞬时性等特征。注册会计师人员可以通过客户应用的网络系统中预留的接口,进行终端联机,通过模拟处理,评价网络系统对网上交易处理的安全审查。通过网络传递取得更可靠的审计证据,以对网上交易的完整性、存在性进行认证。从而对企业的网上交易业务的确认、计量、报告的真实性、合法性进行评价。?
(二)电子支付审计。电子商务这种新的贸易方式,带动新型的.支付方式的形成,电子支付是电子商务的重要组成部分。电子支付方式不同于现金、支票、汇票等纸质票据的支付结算,它是一种适应于网络的,方便、快捷、无纸化的货币结算方式。电子支付方式包括金融交易卡和数字货币。金融交易卡包括以磁卡为媒介的信用卡和IC卡(智能卡),这种交易卡在传统的商务活动中也可以使用。数字货币则是只在网络上流通的无形货币,它是由一组数字构成的特殊信息,包括数字现金、数字支票、数字信用卡。针对电子支付手段的多样性,注册会计师人员在对电子支付进行审计时,首先要审查客户的网上交易是采用哪一种或几种电子支付手段,然后结合各种电子支付手段的特性,实施具体的审计。例如,对数字现金支付方式进行审计,数据金是一连串的数据位, 连串的数据位只使用一次。审计人员可以通过网络系统中的中央清算机制审查每一笔交易(也可以进行抽样审查),看是否有相同的数据串被多次使用。还可以通过电子钱包
[1] [2] [3]
网络审计的风险及其防范 篇3
一、网络审计的风险
网络审计是一种全新的审计模式,因此它的产生也必将带来新的审计风险。而新的审计风险也将与传统审计风险有着明显的差异。其差异主要有以下两个方面:硬软件风险和人为风险。
网络审计对计算机硬软件的依赖性非常大,所以由于硬软件问题而导致的风险机率也就相当高。硬软件风险一是由于审计线索电子化并以磁介质为主要存储载体而导致的审计线索模糊,使审计人员无法摸清审计轨迹,并且舞弊者或攻击者可不留篡改痕迹的对原始数据进行非法修改和删除,从而无法保证数据的完整性和真实性,给审计监督服务带来了风险;二是由于在网络审计系统的运行过程中发生断电、死机、计算机病毒以及损坏等而导致的审计信息丢失;三是网络审计系统的运作需要多套审计软件的支持,一旦某个软件发生问题就将直接导致审计风险的产生。
网络审计是一种新兴的科技含量非常高的审计模式,所以对参与网络审计的人员素质要求也非常高,由此也将带来一定的审计风险,这种风险叫做人为风险。人为风险一是人为地破坏系统和盗窃信息。网络审计是以网络作为载体的,这就为电脑黑客通过网络对审计系统进行破坏和信息盗窃创造了条件,导致审计风险的产生;二是由于操作人员的失误或操作不专注而导致的审计风险;三是由于内部控制失灵,导致对数据维护、系统管理和数据输入、数据核对确认等岗位不作适当的分离,产生利用网络的弱点故意修改数据、舞弊或窃取秘密信息等审计风险。
二、网络审计风险的防范
(一)应用审计软件,对相关网络系统进行适时跟踪。首先对被审计单位的网络系统进行评价,并利用专用的审计对比软件,将存放于数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;其次对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;再次要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。
(二)建立审计服务信息库。网络时代的风险观念不同于传统的风险观念。因为网上交易公开化程度较高,数据被未授权人员修改的可能性很大,系统面临的信息风险骤增。而许多企业在网上发布的财务信息经常变换,偏离会计准则要求的信息还没有被监管部门发现就已经被替换掉,故建立一个在监管部门严格监控下的网上财务信息强制存档制度就显得尤为必要。
(三)对网络系统的安全性和保密性进行审计。在网络中运行,信息的安全性和保密性构成了审计的风险防范和控制的重点。首先对网络系统职责分离情况进行审查,遵循的原则仍为不相容职责必须分离,但侧重对数据的输入、输出,软件开发和维护及系统程序修改或管理等之间的关系进行审查;其次对被审计单位网络结构进行分析与评价,以确认防范黑客侵入的能力;再次对被审计单位的系统容错处理机制、安全管理体制和安全保密技术等作深入的了解,评价其系统安全性的等级,从而有效地控制审计风险。具体可以采取以下措施:第一,实行识别认证和访问控制技术。为了防止非法用户的入侵,可在因特网内部采用识别认证和访问控制技术,内部网的访问采用入网控制、网络权限控制、目录级别安全控制、网络服务器的安全控制等技术。第二,采用加密技术。数据加密技术作为主要网络安全技术,是提高网络系统数据的保密性,防止秘密数据被破译的主要技术手段。加密技术一般分两种形式:保密密钥和公开密钥。加密算法的选择要结合具体应用环境和系统要求,综合考虑密钥的合理分配、加密效率与系统结合度以及投入产出分析等因素。第三,设立防火墙。可以考虑在企业内部网与互联网之间设立防火墙,使内部网与互联网互相隔离。所谓防火墙是一道进出企业内部网的通信门槛,它可以有效地阻止互联网中的黑客非法入侵或攻击机构的内部网。当然,防火墙要随时升级换代,不断提高抵御病毒入侵、杀毒能力。第四,采用数字签名技术和公正仲裁制度。采用数字签名技术和公正仲裁制度,可以防止网络中进行数据交换时的否认、抵赖事件发生。仲裁制度可以有效地解决交易双方发生纠纷的法律适用问题和公正处理双方合法权益问题。采用数字签名技术和公正仲裁制度,可以有效地防范来自关联方和社会的道德风险。
(四)加强内部控制测试,降低控制风险。从手工会计发展到网络会计,审计环境发生了巨大的变化,内部控制审计重点也发生了变化。网络财务环境下内部控制更强调防止发生错误功能,审计人员可将控制风险定在最高水平制定工作计划,再展开审计测试工作。内部控制测试应着重检查各种管理制度是否健全、不相容职务是否分离、网络使用是否授权、操作日志是否建立、检查数据是否备份、应用控制制度是否建立等。
搜索引擎的网络信息审计系统 篇4
目前,政务网和大型企业的内网建设已具有一定规模,虽然大多数单位都已认识到信息安全的重要性,部署了防火墙、IDS/IPS等设备,但对于信息监管的效率仍旧较低,很难从海量的网络信息中发现敏感信息,尤其缺少对单位内部信息泄漏的有效监控、取证、审计的能力。
与互联网相比,企业内网有其独特之处:1、内网中大量的信息公开网站和业务系统大都采用或即将采用B/S模式,因此内网流量中超过80%的流量为HTTP协议的数据流量。2、内网中有大量的孤岛信息,由于很少有链接指向这些地址,如个别单位未经审批私自开设网站等,因此监管部门不易发现和管理。3、企业内部使用的系统,往往是由总公司统一部署,总部自然具有垂直管理的权限,能够直接从数据库获取所有的信息。
当前业界普遍采用的信息审计系统,大多采取关键字匹配或数据挖掘技术,这些都要求有强大的计算环境支撑,普通的服务器难以承受上百万条记录的信息审计,常常出现执行超时等情况。
针对上述特点和问题,本文提出一种基于搜索引擎的网络流量信息审计系统,尝试改变传统单一依赖关系型数据库的局面,引入开源的sphinx搜索引擎技术,提高了对文本信息的分析速度,丰富了信息审计功能。通过改进信息审计系统结构,在探针和审计服务器之间增加了高速缓冲阵列,有效减少前后端系统的同步压力,提高了整个系统的效率。
2. 系统结构
本系统由流量采集和协议还原引擎、高速网络缓存和信息审计引擎构成,如图1所示。与传统信息审计引擎不同,没有在进行流量采集的同时进行关键词的匹配,而是经过协议识别、过滤、还原为页面快照后,由信息审计引擎执行信息索引,由于这一步的速度相对较慢,为了避免由模块间同步带来的性能损失,在高速信息采集后,增设了一级高速网络缓存,用于暂时存放文本信息,并产生任务队列,便于后端慢速的搜索引擎抓取信息。
3. 关键技术分析
3.1 流量采集手段
根据管理的需求和信息类型不同,监管部门和业务提供单位可采取不同的数据采集方法,目前主要有旁路镜像、网站爬虫和服务器探针三种数据采集技术。它们的特点如下:
1)旁路镜像技术适合在网络节点处部署,通过端口镜像或分光,从核心交换机和路由器获取流量,能在不影响原有设备的传输和性能的前提下,精确记录所有报文的流量信息,是一种高效、安全的布控方式和手段;
2)爬虫技术适合对信息发布站点、留言板等信息公开场所实施信息审计。通过指定一组URL列表,网络爬虫自动抓取所有的网页,以网页快照的方式展示和存档。但对于一些孤立的站点很难实施自动采集;
3)服务器探针是直接安装在各种Web服务器上的软插件,监听服务器上的所有http通信,能够有效的获取通过压缩、加密等手段保护的HTTP通信。
在本系统中结合三种方式的优点,以旁路采集为基本手段,将网络流量还原为页面快照,利用爬虫对采集中发现的孤岛站点地址进行主动探测。而服务器探针则可以通过行政手段,强制安装在由总公司统一管理的服务器上,直接对其服务器甚至后台数据库监控。
3.2 HTTP协议还原
协议还原是指对获取的数据按照TCP/IP的标准进行重组和剖析,根据不同端口对应的协议分别进行还原,包括协议命令和协议传输的内容(如Web网页),将满足应用功能的数据交给应用功能部分(如网页的文本化信息)。HTTP协议由R FC1945(HTTP1.0)和R FC2616(HTTP1.1)标准定义,采用请求/响应模型。通常HTTP消息包括客户机向服务器的请求消息和服务器向客户机的响应消息。这两种类型的消息是用ASCII文本携程,每行以一个CR LF符结束,最后一行有一个额外的CRLF符。由一个起始行,一个或者多个头部行和附加的消息体组成。
请求消息的第一行包括方法字段、URL字段和HTTP版本字段,方法字段包括GET、POST、HEAD等方法。头部行中常用的字段如HOST,指定请求资源的主机地址,和前面的UR L字段共同组成完整的UR L。响应消息的第一行包括HTTP字段、Status_code字段等,如状态200表示处理成功,403表示没有找到指定的页面等。
请求消息和响应消息都可以包含实体信息,实体信息一般由实体头域和实体组成。实体头包括Content-Type、Content-Length等字段,分别表示实体内容的类型和长度。对于请求数据来说,可以认为数据内容以GET、POST、HEAD、HTTP开头的即为起始数据片。对于请求信息结束的一定方法有两种情况:若请求信息中含有content-length域,则可根据其值依次取出规定数目的内容,即可确定结束数据片:若请求信息中不含有content-length域,则可以以两个CRLF作为结束标志。对于响应数据来说,在设计时可以认为数据内容为“HTTP”的即为起始数据片。对于响应信息结束的判定方法同样也有两种情况:若响应信息、中含有content-length域,则可根据其值依次取出规定数目的内容,即可确定结束数据片;若响应信息中不含有content-length域,则可根据该数据片是否设置了FIN标志来确定。而后判断实体内容的数据类型,通过判断“content-Type”“charset”等域信息,我们可以判断该数据包传送的信息类型,采用什么编码方式。如“content-Type:text/html”“charset=gb2312”可以确定为文本信息,采用gb2312编码方式。
为提高处理效率,避免重复处理相同的页面数据,我们建立白名单,记录已经访问过的网址。在分析HTTP头时将GET请求的URL保存在白名单中,若后面发现有请求相同URL的会话,则不再对该会话后续的响应信息做处理。
3.3 高速网络缓存
协议还原后产生了大量的页面数据,文献中提出将数据保存成TXT或HTML类型的文件。然而根据Google在2010年的统计数据表明,不含图片、脚本、CSS等内容的网页平均大小仅37.31KB,频繁文件存储会带来过多的I/O操作,严重影响系统性能。为了提高处理速度,应该让尽可能多的工作都在内存中完成,我们构建了一个高速的网络缓存,主要利用了Memcached和Starling两款开源软件来实现。
Memcached是一个高性能的分布式内存对象缓存系统,基于C/S结构,允许不同主机上的多个用户同时访问这个缓存系统,它通过在内存里维护一个统一的Hash表,以key-value的形式存储和获取各种格式的数据,客户端使用memcache协议进行通信。该协议十分简单,基本的操作仅两条:set、get,并且支持多种语言接口。Starling是一个支持memcache协议的队列服务器,同样为C/S模式,支持多用户访问,实现效率非常高。很多著名网站如新浪、Twitter等,都在其产品中广泛使用了这两款软件,以应对巨大的访问量。
由于这两款软件都是将数据完全放在内存中,避免了磁盘读写瓶颈,因而能够到达很高的处理速度。我们用Memcached作为页面快照存储,用Starling存储key序列,协议还原引擎采取如下步骤存储数据:
1)协议还原引擎经过IP分片重组、流重组、协议识别、协议过滤、还原后,得到原始的HTML数据流和post数据集,保存在http_content结构体中,并将该结构体序列化;
2)以源IP地址、目的IP地址、源端口号、目的端口号为元素,计算出一个16bit的HASH值,作为key;
3)连接Memcached服务器,发送set命令,将key和http_content存储;
4)连接Starling服务器,发送set命令,将key添加进任务队列;
5)调度系统定时从缓存中取出一组key和http_content,进行索引和存档,并及时清理过期的数据。
可见前端在保存数据期间并不需要考虑与后端的同步问题,降低了系统模块间的耦合度,提高了系统的灵活性。随着流量信息的增长,当审计系统的处理能力无法满足需求时,只需简单的增加审计服务器就能够提高处理缓存数据能力,不需要考虑各种同步等问题。
4. 基于搜索引擎的信息审计系统
4.1 sphinx搜索引擎
页面数据流含有大量的文本信息,传统的处理方式是对采取关键字匹配的方式对流量进行监控。这种方式受匹配算法的影响,随着关键字数量的增加匹配性能递减。而搜索引擎在对海量文本信息的查询和统计方面,有着先天的强大优势。大多数搜索引擎基于倒排索引原理,以词作为索引的Key值,对非结构化的自然文档内容进行分词、索引,这是关系型数据库无法做到的,因此搜索引擎有着极高的关键字查询速度。
Sphinx开源搜索引擎是由俄国人Andrew Aksyonoff开发,支持从包括My Sql、Postgre SQL等数据库、XML数据文件中获取检索数据,提供PHP、Python、Perl、C++等语言的API接口,具有良好的搜索性能。Sphinx本身不支持中文分词,目前主要采用Lib MMSeg实现中文分词。现在国内已有对二者进行整合和优化的中文搜索引擎Coreseek,我们将基于该引擎构建信息审计系统。
4.2 海量数据流准实时查询系统
随着系统的运行,不断有新的数据加入,当索引增长到一定规模后,就会影响到搜索效率。因此,需要定时对索引进行维护。由于Sphinx进行索引重建的时间通常远远多于合并索引的时间,我们采用“存档索引+增量索引”模式来实现准实时更新索引。对应的Mysql数据库系统也采用类似的管理模式,使用如下任务调度策略:
1)调度进程从队列缓存中循环取出一组页面快照Key(100条);
2)调度进程根据页面快照Key,从数据缓存中读出页面快照和会话信息,写入后台Mysql数据库的增量表和主表中。主表用于永久存储抓到的页面,按100万条(平均页面文件通常不超过40k,共需约40G)记录进行分区,保证数据库查询性能。
3)调用sphinx对数据库增量表进行抓取,更新增量索引。Sphinx的增量索引与数据库增量表成对应关系,以统一的HASH ID作为全库的主键。经测试Sphinx建立索引的速度大约为6.5MB/s,从而可以设置约10秒更新一次增量索引。
4)经验表明,当Sphinx增量索引的文档数超过38万后,进行索引更新的时间将大增。因此根据数据的增长速度,间隔一段时间(几小时或1天)进行一次合并索引操作,保证My SQ L增量表的记录数只有数万条至十几万条,以加快Sphinx增量索引的更新速度。在进行合并操作时,必须暂停向增量表写入新的数据,并且在合并完成后,立即清空增量表。
经测试,在Xeon 2.4GHz CPU,4G内存的服务器上,3000万条索引记录的条件下,平均查询时间低于0.1秒,最新的流量数据30秒内便能反映在查询结果中。
另外,企业数据库中存有大量的信息,大型企业往往部署有多级业务系统,有时并不能从网站页面上进行全面的信息审计。在条件许可的情况下,直接使用Sphinx读取数据库,不但可以有效实现对论坛、留言系统等的信息审计,而且避免了无关信息的干扰,提高了执行效率。
5. 结束语
本文提出一种基于搜索引擎的信息监控和审计系统,通过改进流量获取和协议还原系统,能够有效采集网络中大量的HTTP协议信息,结合搜索引擎独有的文档索引功能,较好的解决了传统信息审计系统面对海量数据查询效率低下的问题,实现准实时的信息监控功能。【下转第117页】通过建立三级结构,系统具有良好的弹性,随着网络规模和流量的增加,可以简单的进行扩展以提高系统的处理能力,为今后的进一步研究提供了良好基础。
参考文献
[1]协议流量监测[EB/OL].http://www.cert.org.cn/.
[2]Sphinx[EB/OL].http://sphinxsearch.com/.
[3]姜卓彦.大流量主干网络中实时网络监测[D].电子科技大学,2005(19).
[4]陈志军,王丹.支持内容分析的网络监视器的设计与实现[J].沈阳航空工业学院学报.2004.21(5).
[5]吴刚,王旭仁,张信杰.高速邮件监控审计研究[J].计算机工程与设计,2010,31(6),1195.
[6]Web metrics:Size and number of resources[EB/OL].http://code.google.com/intl/zh-CN/speed/articles/web-metrics.html.
[7]Memcached[EB/OL].http://memcached.org/.
网络信息审计 篇5
审计信息报道工作,是审计工作的一个重要组成部分。着力提高审计信息质量,大力促进审计成果转化,对进一步提高审计队伍整体素质,提高审计工作水平,提高审计监督在经济建设和依法治国的作用产生巨大的影响。为此,我们必须高标准、严要求,努力做好审计信息的报道工作。那么,如何做好审计信息的报道工作呢?笔者认为,在审计信息报道方面应坚持“五性”,做到“五个加强”。
“五性”即:
1、在信息报道内容方面,要坚持全面性。既要反映审计工作业绩,更要敢于揭示审计工作中存在问题,克服单纯“歌功颂德”现象;既要反映审计工作中好的做法、经验和措施,更要坚持以人为本,反映审计队伍中出现的先进典型、先进模范和先进事迹;既要总结过去的经验教训,更要提出超前性的工作思路、建议和对策,未雨绸缪,大胆创新;既要反映审计自身情况,更要反映改革发展、经济建设和党风廉政建设中热点、难点、重点问题,围绕中心,服务全局。
2、在信息报道事实上,要坚持真实性。“准”是信息报道之本,报道审计信息,必须以事实和政策法规为依据,保证信息真实可靠,具有指导性、可操作性,绝不能虚报浮夸,捕风捉影。
3、在信息报道时间上,要坚持及时性。失去时效的信息是没有价值的信息。报道审计信息,必须以“快”为准则,及时收集、整理、发出、交流,进而充分发挥信
息的引导、启迪和推广作用。
4、在信息报道观点上,要坚持前瞻性。要用改革的观点,创新的思维去捕捉撰写信息,跳出审计看审计,放眼审计看审计,面向未来看审计。信息报道反映工作,思路要新,措施要明;反映做法,典型要突出,成效要明显;反映问题,要抓大放小,击中要害,击中时弊;反映先进人物,感染力要强,影响力要大;反映建议,观点要明,论据要足,要科学合理。
网络审计的产生与风险防范 篇6
关键词:网络审计产生风险防范
随着高科技信息时代的到来,全球网络化势不可挡,迅速渗透于各个领域,对社会生活的各个方面都发生着深层次的影响。电子市场、虚拟商店、网上购物、网络贸易以至商业互动模式等新兴事物的崛起,打破了传统贸易形式时间和空间的限制,得到极大的增强,加速了全球信息经济一体化的进程。随着网络技术的发展,企业的经营方式和管理模式发生了重大变化,财务管理系统逐渐由手工模式向网络自动模式发展,网络经济时代以“网络财务”为代表的财务管理信息系统一一电子商务,彻底改变了传统商务的构架和流程,从而使传统审计面临方方面面的挑战。
一、网络审计的产生及组成
我国网络系统经过十几年的发展,在硬件、软件,互联网络的开发、管理及运用方面已经拥有了比较成熟的技术,形成了一整套较为科学、先进的技术体系。网络财务和管理软件的普及、完善及较为充足的网络操作人才为网络审计的实现奠定了坚实的基础。迄今为止,绝大多数的机关、单位的会计核算都实现了计算机管理,80%以上的单位使用的是国产的财务或管理软件(部分已具备了网络财务功能)。互联网通信技术和计算机技术的深入发展给网络审计的出现提供了先进的技术支持。有的单位建立了内部网络管理和信息系统,实现了数据共享。这些为网络审计软件的开发和审计网络的建设奠定了基础;在人员方面,受过系统的计算机基础教育的大中专毕业生和受过计算机应用培训在职人员已非常普遍。这就为网络审计的普及与推广提供了充足的人力资源保障。
以电子商务为基础的网络经济的高速发展呼唤着网络审计的诞生。电子商务是借助计算机和信息技术、网络互联技术和现代通讯技术来全面实现电子化的交易和结算的商务新模式,具有便捷、经济、高效的特点。电子商务这种与传统商业截然不同的商务操作和管理模式,已经远远超出了传统审计所能涉及的领域。电子商务的发展直接导致了网络财务的出现。网络财务是企业财务管理从思想观念到方式手段的一次深刻革命,传统审计也必须加快发展步伐和变革力度以适应网络经济及网络财务的发展。电子商务与网络经营使企业的经济环境、组织结构、经营方式与管理模式等审计环境发生了巨大变化,审计人员必须了解和适应审计环境的改变。
本文所指的网络审计是指以网络经济活动和网络信息系统为对象、以解决网络经济活动的合法性、真实性和有效性及网络财务会计信息和其他信息的公允性、合法性为目的的经济监督、经济鉴证和经济评价活动。因此网络审计作为一种新型审计,主要由以下三部分组成:
(一)对网络经济的审计。网络经济是指在开放的互联网环境下,利用服务器来实现的各种经济活动。它既包括网络贸易、网络银行、网络企业以及其他商务性的网络活动,又包括网络基础设施、网络设备和产品以及各种网络服务的建设、生产和提供等经济活动。由于审计对象更加广泛和复杂,要求分工与协作更加深入,网络系统的认证,定期审查(年审或季审)及网上业务审计所构成的审计作业由不同的审计机构承担成为必要和可能。网络系统的认证和年审一般可由政府审计或由其委托的社会审计,或社会审计在政府审计的许可、监督下接受企业的委托进行。而网上业务审计则可由接受授权或委托的政府审计或社会审计来完成。
(二)对网络系统的审计。网络审计对网络系统安全性、可靠性和准确性有很强的依赖,这就要求尽可能在网络系统投入运行前就对其进行审计。主要有以下三个方面:
1、对系统开发的审计
网络信息系统(电子商务系统和网络会计系统等)的特点及其固有的风险决定了审计内容必须包括对网络信息系统处理和控制功能的审查,以证实其业务处理是否真实、合法及安全可靠,这是传统审计所没有的。
2、对内部网络功能与控制的审计
包括硬件系统的审计,软件系统的审计,人员组织及内部控制系统的审计。应对此实行突击检查与定期审查制度相结合的,以保证内部网络的安全性、可靠性和准确性。
3、对外部网及相关单位的审计
为了保证网络业务的真实性和安全性,必然要求审查如网上的认证机构、加数字时间戳的机构、网上银行或电子货币发行单位的真实、可靠性;评价各种Intemet上加密技术、防火墙技术等网络安全控制措施的有效性。
(三)借助网络进行审计。网络审计当然应该包括审计自身的网络化,即审计本身的电子商务化,这是网络审计与传统审计相区别的根本特征。
1、借助网络开展业务
网络审计机构的业务活动大部分将在网上开展,包括在本企业网站上进行形象塑造、信息披露、服务咨询、同业交流、委托或授权、资金划拨、审计结果报送等。
2、借助网络进行项目管理和实施
网络审计机构在网上接受委托或授权,并取得登录密码及其他相关权限后,就可以在任何地方借助网络进行项目管理和实施,完成除实地盘点和观察外的大部分审计工作。如在系统开发时嵌入了审计程序,计算机还可以自动对经济业务进行实时的监控,自动完成部分审计任务。
3、借助网络进行多单位、跨时空作业
网络审计使得多单位联合审计项目的实施成为可能,主管单位在网上对各单位进行分工、管理,领导与协调。而实施单位则通过网络与协作单位进行联系协调、资料传输与调用,向主管单位报送工作信息、审计进度,接受指导和协调等。
二、网络审计风险防范及安全控制
审计风险是指会计报表存在重大错报、漏报而审计人员审计发表不恰当审计意见的可能性。传统审计中,注册会计师主要通过评审被审计单位内部控制来确定实质性测试的性质、时间和范围,以此将审计风险将到最低。由于内部控制制度在传统审计中有据可查,较易检测。而网络环境下的审计业务,主要的审计证据来自于系统网络,属间接证据,其可靠性依赖于网络内部控制制度的健全有效性,审计人员仅仅通过常规的审计测试程序.难以确定企业会计报表的部分或全部认定是否真实、公允,导致审计风险难以控制。传统审计的账账核对、账证核对、帐表核对等重要的审计工作,必须由有丰富财会知识和经验的审计人员完成,而这些工作在网络化条件下将失去意义,因为在计算机信息系统中,原始凭证、记账凭证、各种账簿、会计报表等只是系统中同一个数据库,甚至是同一个数据表的数据按不同方式的输出,这些会计信息的正确与否,首先确定于计算机系统功能的正确性,因此网络审计对审计人员的计算机应用水平提出很高要求。
网络审计借助计算机网络等对网上经济活动及其纪录进
行审计,就必然要对网络的安全性、可靠性、准确性产生依赖。目前网络犯罪已呈现出国际性的发展趋势,计算机病毒借助网络广泛传播已是司空见惯,网络的即时性使得网络系统内部的漏洞或错误会无限制的复制。所存在的这些问题可以通过加强对网络系统审计来保证网络经营与网络财务的安全。在传统会计核算程序中的每一步都在纸介质上留有文字记录及经手人签字,审计线索十分清楚。网络经济条件下,传统的审计线索可能完全消失。各种单据,票证和账簿等都以人眼无法直接辨识的电磁信息的形式在网上传递并存储于磁性介质中,只能通过计算机进行审查;并且这些线索还具有被无痕删改、不能永久保存等缺点。网络审计具有很强的实时性。由于网络系统是持续运行的,所以停下来接受大规模的测试非常困难,这就要求审计人员执行网络审计任务与系统运行的同时进行。所以,应加强这方面审计技术的研究已提高实时审计的可操作性、有效性和准确性。电子商务与网络经营条件下,企业原有的内部控制的某些过程消失后,又出现了一些新的内部控制内容,如软件使用控制,网络登录控制等。但是,企业资产和经营的安全已无法单纯依靠健全的内部控制来保证。因此,网络审计要求建立许多全新的安全控制。这些控制不仅包括企业内部的管理制度和企业信息系统的程序控制,还包括外部网络及网上交易的安全控制。
在网络经济环境下,审计机构主要进行两方面的管理,即审计的质量控制管理和审计的网络风险管理。首先是审计质量控制的管理,审计质量是审计职业生存和发展的源泉,没有良好的质量控制体系作保障,审计职业将无法赢得社会的信任,质量控制还是保障审计准则得到遵守和落实的重要手段,因此,审计的质量控制管理是其他管理的基础,在管理体系中居于核心地位,它的好坏直接影响到审计工作的其他各个方面,因此在网络审计中首先必须加强审计质量的控制管理;其次,要进行网络风险管理,这是网络审计特有的管理机制。
随着网络审计的产生与发展,不可避免地会产生新环境下的风险,网络审计的新型审计风险主要有:(1)篡改数据,不留审计线索。(2)信息丢失。(3)黑客侵入和数据失窃。(4)职责分离不恰当引起内控失灵。
网络审计风险的防范和控制为了有效地降低网络审计风险,就必须采取相应的防范和控制措施,具体表现为:(1)应用审计软件,对相关网络系统进行实时跟踪。首先对被审计单位的网络系统进行评价;其次对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;再次要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。(2)建立审计服务信息库。审计人员可将被审计单位的有关信息,通过网络建立一个完善的大容量的信息库,以便以后开展审计时查阅和运用。(3)加强对网络系统的安全性和保密性进.行审计。在网络中运行,信息的安全性即可靠性和保密性构成了审计的风险防范和控制的重点。首先对网络系统职责分离情况进行审查;其次对被审计单位网络结构进行分析与评价;再次对被审计单位的系统容错处理机制,安全管理体制和安全保密技术等作深入的了解,以评价其系统安全性的等级,从而有效地控制审计风险。
我国的计算机审计尚处于初级阶段,但取得了一定的成果,这为我国未来的网络审计奠定了一定的基础。目前,我国只是在网络审计技术上有一些初步的尝试,仅仅是将其作为一种辅助审计手段,比如,我国审计署已有了与被审单位联网审计的试点,而且进展顺利。
网络信息审计 篇7
一、在国家审计中充分利用网络信息的重要意义
(一) 挖掘利用网络信息, 有利于确定审计工作方向和工作重点
首先在审计计划阶段, 审计人员需要确定审计项目并对审计工作做出合理安排。在选择审计事项、确定审计项目时, 需将网络信息纳入重点考虑范围, 分析网络信息的指引性动向。充分挖掘被审计单位的情况, 职责范围、经营范围、容易出现问题的关键环节等, 做到足不出户, 便知天下。其次, 网上的审计动态是一个重要的参考资料, 审计动态是具有可比性和可借鉴性的, 相近的经济条件和结构会出现类似的问题。审计署或者其他地方审计机关发现的苗头性倾向性问题, 可能就是本地问题的线索, 各地的审计盲点和薄弱环节也可能就是本地的审计弱项。因此, 通过对互联网信息资源的挖掘有利于确定审计工作的内容和重点。
(二) 挖掘利用网络信息, 有利于审计工作的开展
审计工作是个综合性很强的工作, 目的是查错纠弊, 找出被审计单位工作中的问题, 可是问题不会就摆在账目上, 需要审计人员的火眼金睛去把问题查出来。因此, 充分利用好互联网上的各种数据库, 各种查询手段, 就像是给审计人员插上了飞天翅膀, 审计人员才能高瞻远瞩, 明察秋毫, 把被审计单位的错漏查找出来。
(三) 挖掘利用网络信息, 有利于审计工作经验的归纳和总结
全国各地审计工作有很多好的经验和做法, 目前从审计署到各级审计机关都建立了官方政务网站, 网站上通常登载了工作经验理论研讨等栏目, 同样一项工作, 同行是如何开展工作的, 工作中的特色亮点是什么, 审计人员在互联网上可以一目了然, 做到他山之石、可以攻玉。
(四) 挖掘利用网络信息, 有利于审计人员丰富知识储备
审计工作涉及的内容很多, 涉及的专业知识也多, 涉及的行业也很多, 因此, 审计人员除了参加审计机关的继续教育和培训制度, 学习会计、审计、法律、经济等方面的新知识, 掌握与从事工作相适应的计算机、外语等技能外, 还应该在工作中根据需要不断学习, 而互联网提供了广泛的学习材料, 有利于审计人员丰富个人知识储备。
二、在国家审计中利用网络信息的几个方法
(一) 利用各种财政税务法规数据库查询法规以及各种行业信息
实施审计过程中, 评价被审计单位经济活动是否符合法律法规的规定, 审计人员就需要以法律法规的规范流程为依据, 判断被审计单位实际操作方法是否合法合规。因此审计人员可以在国家机关官方网站、行业管理者官方网站等相关网站进行查询并获取。审计人员还可以从互联网上了解与被审计单位相关的行业惯例、税收政策、政府政策、环保要求等法律环境和监管环境, 被审计单位所处行业的市场与竞争、生产经营的季节性和周期性、与被审计单位产品相关的生产技术、行业的关键指标和统计数据等行业状况等。例如财政部官方网站上“在线查询”栏目中子目录“财政法规数据库”收录了11000余条财政相关法律法规, 信息量巨大, 具有分类明确、检索方便、更新及时等特点, 为审计人员提供高效的查询平台。
(二) 利用税务机关发票查验系统查验发票等原始凭证真伪
核查原始票据, 是审计人员对支出真实性核查的重要手段之一, 也是审计人员应当掌握的看家本领。发票基本由各省市国税、地税部门监制, 在多数省级国税、地税网站均提供了发票真伪查询平台。如:四川省国税局网站的“涉税查询”栏目中, 提供了“发票查询”、“网络发票查询”两个窗口。只要输入相关信息, 就可以直接与被审计单位的发票进行比对, 如果不一致则可初步判断发票为虚假发票, 该系统的数据库更新延迟时间为2天左右, 能够满足审计人员需要。四川省地税局官方网站还链接了四川省内12个市地方税务局有奖发票查询入口, 有利于验证各地发票真伪, 同时还开通发票查询“绿色通道”, 可以一次性同时查询10张发票的真伪, 大大提高了查询效果。
(三) 利用中国民航信息集团公司主办的电子客票验真官方网站“信天游”网站查验电子机票行程单的真伪
2006年我国统一使用无纸化电子客票以来, 旅客只凭本人身份证即可办理登记牌, 而电子客票行程单只作为付款和报销的凭证。一些不法票务代理点正是利用了电子客票这一特点, 私印假行程单, 将行程单上机票价格改为大于其代购机票的实际价格, 赚取差价。2008年5月, 国家税务总局、中国民用航空局联合发布了文件, 规定将《航空运输电子客票行程单》纳入税务发票管理范围, 伪造的电子客票行程单相当于假发票。在互联网点击进入“信天游”网站后, 录入“电子票号/行程单号”, “旅客姓名”后便可以查验电子机票行程单的真伪。
(四) 充分利用各种搜索引擎查询审计人员需要的各种信息
国外具有代表性的搜索引擎为谷歌 (GOOGLE) 、雅虎 (YAHOO) 等, 国内著名的有百度、搜狗等。这些网页搜索引擎都是通过从互联网上提取各个网站信息 (以网页文字为主) 而建立的数据库, 检索与网络查询相匹配的相关记录, 然后按一定的排列顺序将结果返回给用户。审计人员可以利用搜索引擎关注被审计单位的信息, 查找被审计单位的官方网站, 了解被审计单位最近工作动态, 也可以关注相关违法违纪违规线索, 例如被审计单位是否存在网络举报的情况, 领导干部及工作人员是否存在违反国家财经法规的行为。还可以通过搜索引擎, 了解被审计单位大型项目招投标、环境评价公示等程序公示情况, 有利于进一步了解被审计单位项目实施程序是否合法合规。
(五) 充分利用互联网免费软件为审计工作服务
互联网上的免费软件可谓种类繁多, 资源丰富。Oracle、SQLsever等数据库软件可以帮助审计人员在各种平台或环境下建立统一的或分布的数据库系统及其应用程序。Windows操作系统、office办公系统等软件能给审计人员的日常电子办公提供强大的支持。另外很多小型互联网软件给审计业务工作提供诸多方便, 如利用地理测绘软件, 核实农用地占用真实性等。
三、结语
毋庸置疑, 如今的时代, 信息呈现爆炸的趋势。挖掘互联网上海量的信息资源, 确实有利于审计工作, 但是互联网信息资源也仅仅是工具和帮手, 要想加大审计监督力度, 完成好审计工作任务, 审计人员还得在实践中不断掌握丰富的知识、积累审计经验、不断锻炼和提升审计业务能力。
摘要:国家审计人员作为加强经济监管、履行审计监督职责的“经济卫士”, 对互联网信息的挖掘利用, 有利于提高工作效率, 有利于提升审计业务工作能力, 进一步查处财经违法违规行为。本文对在国家审计中挖掘利用网络信息应用内容、应用方法、意义等方面进行研究并阐述。
关键词:网络信息,审计监督,作用
参考文献
[1]罗杰, 张桃梅.网络审计证据在内部审计中的应用[J].商业会计, 2013, (4) .
[2]王娜.网络信息挖掘探析[J].高校图书馆工作, 2007, (3) .
网络审计证据在内部审计中的应用 篇8
一、网络审计证据在评估经济活动合法合规层面的运用
在评估经济活动是否符合法律法规方面, 网络审计证据的运用在内部审计项目、内部审计的流程中的运用较为常见。
在规划内部审计层面, 审计工作者必须明确内部审计项目并编排对应的工作。在挑选内部审计事务、明确内部审计项目的时候, 必须把网络证据作为关键参考内容, 解析网络消息的指引性动向。内部操控过程、管理层的廉洁奉公问题等极易在互联网上传播, 内部审计工作者应运用互联网信息审计企业内部操控过程中遗留的难题, 对税务策略、政府策略、生态保护方略等要实施监督;内部审计工作者还应运用互联网信息约束管理层的行为, 监督其是不是有授权、指示、强制命令、放纵、袒护公司职员进行违法犯罪活动、玩忽职守的活动以及它类违背我国法律的举动。这类互联网信息对明确内部审计项目具备极强的指导意义, 并“对症下药”, 找到问题的关键。
在内部审计流程中, 需要评估被审计企业经济活动是不是符合法律法规, 审计工作者必须依法行事, 预判被审计企业实操模式是不是符合标准, 这类法律规程在互联网上的披露较为常见。审计工作者应运用网络审计证据考察被审计企业的财会原则、领域既定惯例、受约束的法律架构、税务策略、政府策略、生态保护需求等, 被审计企业所在领域的市场和竞争状况、生产运营手段、被审计企业的生产技术、原料与成本、领域的重要数据和统筹指数等领域有关情况。
通常来讲, 这部分审计证据在互联网上才能查找完全, 审计工作者应在我国政府网站、行业管理者官网等有关网站实施查找和搜索;被审计企业的所有权结构、治理结构、组织结构、运营项目、投资项目、集资项目、财会报表等等多元化的信息, 能够透过企业官网实施查找。由于这部分信息兼具真实性, 并且符合法律规程, 因此也兼具关联性, 有关并且能够运用的互联网信息能够当做网络审计证据在内部审计中运用。
二、网络审计证据在评估经济活动目标实现层面的运用
在内部审计中, 审计工作者应对被审计企业的财会情况、管理层应担负的职责等实施内部监督。经济数据作为公司经济活动目标实现的重要筹码, 从特殊的视角来讲, 亦是被审计企业管理者运营绩效的表现。营销收益、资产价值、毛利税务、投资集资、员工福利等运营目标的实现, 在被审计企业中并非纸上谈兵。当前, 贪腐行为、占用款项等行为将阻碍经济活动目标的实现, 在互联网上消息也会不胫而走。
经过调查和研究, 笔者发现:近年来我国的公司高层违背法律的行为时常出现, 而且呈每年递增的趋势。在问题集中爆发的过程中, 违纪违法的公司高层都来自于一部分有相当规模的公司。其中, 国有公司的管理层人员居多;贪污范畴很广, 在同一公司中, 整个领导团队联手“作案”已经屡见不鲜。这表明:公司管理体制有着重大漏洞。假如不变更、改善企业管理体制, 那么贪污现象不可能根除。
在贪腐成性、占用款项等左右经济目标实现的活动中, 大部分消息都是在互联网上不胫而走, 并引发媒体的声讨, 最后相关机关再根据实际情况介入, 并深入开展审计工作。网络审计证据在审计流程中应起到关键性作用, 并获取审计结果;对相关违法乱纪的工作人员应严惩不贷。
在内部审计的流程中, 假如在互联网上保证一定程度的透明性, 审计工作者可以审慎地从关联性以及可采性两种视角来评估网络审计证据的可靠性, 发挥互联网信息的有效功能, 审慎利用网络审计证据。
三、网络审计证据在评估经济活动经营质量层面的运用
在内部审计的流程中, 被审计企业的经济项目的运营质量表现在应收款项周转率、库存周转率、固定财产周转率、成本周转率等数据中, 牵涉到应收款项、库存、固定财产、营销收益、股东权利和利益、资产等财务报告中的项目。假如财会报表反映的并非真实情况, 那么在内部审计中评估经济活动的运营质量就是不可能的。而且, 网络审计证据的出现也不允许这样的情况出现。
在内部审计的过程中, 互联网信息对虚报信息是一种有力的打击;审计工作者应重视与财会虚报信息相关的互联网信息动向——特别是证实信息的真实性以及合规性方面。假如互联网信息兼具真实性以及合规性, 让互联网信息具备采集的价值, 审计工作者就应权衡将互联网信息明确成网络审计证据, 能够结合财会数据获取审计结果。
因为内部审计的复杂性, 在利用网络审计证据评估经济活动是否符合法律规章、目标是否实现以及其运营质量的时候, 应将其杂糅, 不能分离开来审计。因此, 审计工作者在权衡网络审计证据的时候, 应将三个版块综合起来, 一环扣一环, 最终提升审计工作质量。
四、结束语
网络审计证据在内部审计的运用在上述三个版块中一以贯之;尽管网络审计证据是较为宽泛的审计证据, 然而因为对其的研讨和著述还较为匮乏, 我国法律也并未对其作出明文规定, 其运用情况还差强人意。因此, 在内部审计的过程中, 应让网络审计证据能够协助审计工作者进行审计, 要融合以往的审计证据, 得出审计结果。
摘要:笔者将以内部审计为基础, 从内部审计的关键内容——评估经济活动的合法性、目标实现程度、运营质量等等, 阐述网络审计证据在内部审计中的应用, 提升其应用效率, 最终指明网络审计证据在内部审计中的重要作用和关键位置。
关键词:网络审计,内部审计,应用
参考文献
[1]郝威.网络信息化技术在电网企业内部审计领域运用初探[J].品牌, 2012, (6) :59, 66.
[2]马越, 王鸿川.远程视频在内部审计工作中的应用及未来的发展展望[J].商, 2014, (1) :169.
[3]龚燕萍.企业内部审计信息化建设中应重视和强化相关管理和安全控制措施[J].环球市场信息导报, 2014, (29) :215.
网络信息审计 篇9
1.1内部控制审计
1.1.1内部控制审计定义
内部控制审计是通过对被审计单位的内部控制的审查、分析测试、评价, 确定其可信程度, 从而对内部控制是否有效做出鉴定的一种现代审计方法。
1.1.2内部控制审计的内容
审计其实是对被审计事项合规性的审查, 内部控制审计就是对内部控制五要素的一个审查, 这五要素就是美国COSO委员会提出的《内部控制-整合框架》中的“控制环境、风险评估、控制活动、信息与沟通、监察”。在内部控制审计过程中, 审计师在审计过程中查看被审企业是否对企业的内部环境有着很好的认识, 认识是否中肯, 是否存在夸大或贬低的情况;对企业进行风险评估, 将审计师自己所进行的风险评估与被审单位进行的风险评估进行比对, 查漏补缺。
1.2信息化内部控制审计
信息化内部控制审计与内部控制审计内容、方法其实基本相似, 最大的不同就在于, 信息化内部控制审计考虑了信息环境对内部控制的影响。它的内容更多的是涉及到信息化环境下的内部控制问题, 审计师更多的关注是信息技术在企业中使用的范围, 评价信息技术的使用对企业经营管理过程中可能带来的风险, 评估信息技术对财务报表等等各方面的影响。
2信息系统审计
2.1信息系统审计定义
信息系统审计是一个利用各种手段和工具对企业进行收集和评价审计证据, 并以此来判断其信息系统是否能够保护企业资产的安全、维护企业数据的完整, 能否有效地保证企业目标的实现, 并能使企业资源得到高效地利用等方面做出判断的过程。
2.2信息系统审计的内容
信息系统审计内容通常包括对企业组织层面信息技术控制、信息技术一般性控制、业务流程层面相关应用控制的审计。企业组织层面信息技术的审计要考虑的是信息技术对在内部控制审计所关注的五要素“控制环境、风险评估、控制活动、信息与沟通、监察”的影响, 如在控制环境因素中, 审计师要关注信息技术战略规划与企业发展战略规划的契合度、信息技术治理制度体系的建设以及信息技术部门的组织结构和关系以及信息技术教育和培训等情况。信息技术一般性控制关注的是构建信息系统所涉及到的技术及安全:计算机硬件系统、计算机软件系统如网络架构、操作系统、数据库、应用系统, 还包括使用信息系统相关人员以及规章规程, 以确保信息系统的稳定运行, 支持应用控制的有效性。如信息安全管理、系统变更管理、系统开发与采购管理、系统运行管理等。企业业务流程层面应用控制是为了保证信息系统能够准确、完整、及时完成企业数据的处理过程而设计的信息技术控制, 所以审计师应关注与数据输入、处理及输出环节的相关的控制过程。除了上述审计活动之外, 审计师还可根据企业的需求以及企业可能面临的特殊风险, 设计信息系统专项审计满足企业发展战略, 如:信息系统开发实施项目的专项审计、信息系统安全审计、信息技术投资专项审计等。
2.3信息系统审计过程和方法
典型的信息系统审计过程内部通常有下面几个阶段:1确定审计对象:明确将要审计的领域。2确定审计目标:明确审计目的。3审计范围:明确组织中要检查的具体系统、职能或单元。4制定初步审计计划:确定所需要的技术技能和资源, 检查信息的来源, 确认审计地点或设施。5搜集数据的审计程序和步骤:确定对控制进行测试, 验证审计方法和工具, 确定访谈对象名单, 确定需要检查的部门政策、标准和指南。6评价测试或检查结果的程序。7确定与管理人员沟通的程序。8审计报告:确定追踪审计程序测试和评价运营效果以及效率, 确定控制测试程序检查和评价文档、政策和规程的合理性。
和传统手工环境下的审计技术和方法相比, 信息系统审计的方法既包括一般方法即手工方法, 如询问控制相关人员、观察特定控制的运用、审阅文件和报告等方法, 同时也根据信息系统的特性, 应用计算机辅助审计工具和技术对信息系统进行穿行测试、追踪信息系统处理数据痕迹、验证系统控制和计算逻辑以及登录信息系统进行系统查询等方法。审计人员对信息系统审计进行评估时应获得充分、可靠及相关的审计证据以支持审计结论完成审计目标。在信息系统审计过程中, 我们要注意几个问题:1由于较多的计算和报表等都是信息系统自助完成的, 审计师在审计时要关注数据的来源、 去向是否明晰, 对数据报表审查功能是否完备等。2数据在两个信息系统之间进行数据传输时, 要制定一套规章来保证数据在传输过程中的完整性、准确性和真实可靠性。3信息系统审计师在使用计算机审计软件工具获取审计证据时, 要注意对原数据的保护, 不能对原始数据进行分析, 防止造成审计证据的丧失。4信息系统审计师对被审单位内部控制环节进行审计时, 要关注其内部控制系统是否存在并证明它正在有效地发挥作用。具体地应在这几个方面检查内控制度的有效性:控制系统资源的存取、控制系统资源的使用、建立用户职能分配资源的制度、确认处理过程的准确性、保护财务系统免遭计算机病毒的攻击。
3信息化内部控制审计与信息系统审计的联系
通过对信息化内部控制审计、信息系统审计的定义、内容等基本概念的介绍和分析, 我们对两个审计概念有清楚的了解。不管是信息系统审计还是信息化内部控制审计, 它们都是企业为防范风险、进行有效监管为主要目的的审计体系, 以此构建全方位的企业管理过程的控制体系。对企业来说财务管理尤为重要, 企业运营的决策很大程度依赖于财务报表等相关财务报告, 在信息化环境下, 财务报告信息是由会计信息系统依据日常财务信息统计计算获得的, 会计信息系统的有效运行依赖于内部控制的有效性。信息系统审计关注信息技术的应用与信息系统运行的有效性, 信息化内部控制审计关注信息技术的应用与内部控制的有效性, 从上述分析可以看出, 信息化内部控制审计与信息系统审计存在着许多联系。
3.1目标一致性
内部控制审计是对公司内部控制有效性的审计, 信息系统审计是对组织信息系统管理以及应用的综合评价, 似乎并不相同, 但是两者的最终目的是一致的, 它们都是建立企业的风险控制、监管体系保证企业管理人员得到完整的、真实可靠的管理信息。而且, 信息系统审计的内容在很大程度上与内部控制审计内容有着密切的相关性。企业管理信息系统通过收集企业日常运行的数据经过加工处理后产生了各管理层所需要的管理信息, 信息系统的运行依赖于内部控制的有效。因此, 内部控制的有效性, 是为了信息系统的有效运行, 是为了获得高质量的管理信息, 更有效地为企业管理人员服务。
3.2都属于鉴证业务
一般的鉴证业务定义是指注册会计师对鉴证对象信息提出结论, 以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。我们认为内部控制审计和信息系统审计都属于专门的签证业务。审计人员在进行财务报表审计时, 根据已发布的各个准则对内部控制进行调查和测试, 目的是确定控制风险水平。当风险控制水平确定后, 审计人员在审计期间要考虑内部控制的有效性。而审计人员执行内部审计业务是一项专门的审计任务, 他事先与委托人就内部控制审计范围达成一致意见, 只要是业务约定书确定的内部控制审计范围, 审计人员都要进行审计, 也可将内部控制审计与财务报表审计整合进行。因此, 财务报告内部控制审计也是基于责任方认定的鉴证业务。
根据信息系统审计定义, 信息系统审计是以独立第三方的身份对被审计单位的信息系统以及信息系统应用发表意见, 这种意见明显属于合理保证的鉴证业务的范畴。ISACA提出的用于描述IT管理框架的COBIT, 已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。我国的信息系统审计准则基于COBIT的思想建立一套完善的企业信息系统审计的内部监控体系, 认为信息系统的开发、运行和维护以及信息技术相关的内部控制的设计、执行和监控是组织及其相关人员的责任, 实施信息系统审计工作并出具审计报告是信息系统审计人员的责任。这就说明了信息系统审计属于基于责任方认定的合理保证鉴证业务。
3.3基于风险控制的审计形式
我们知道内部控制有一项基本要素是“风险评估”, 同样的, 内部控制审计中采取的就是风险导向审计模式, 由审计师对被审单位的风险进行分析, 确定被审单位是否已经意识到了所有的风险, 或者说是否存在被审单位忽略的风险。对意识到的风险, 审查其控制活动, 确保控制到位, 不存在遗漏的地方;对于被审单位没有意识到的风险, 提出审计意见、提出控制活动, 建议被审单位重视这些被疏忽但是却不容小觑的潜在风险。
同样的, 信息系统审计也是采用了同样的风险导向审计模式, 在正式的审计活动展开之前, 先对被审单位进行风险评估, 了解被审单位风险控制是否到位, 根据风险评估结果决定信息系统审计师对被审单位进行的合规性测试、复合性测试的量的大小, 运用风险导向审计模式可以极大的减少信息系统审计师的工作量, 帮助信息系统审计师选取一种最优化、智能的测试方法获取想要的审计证据。所以说信息化内部控制审计与信息系统审计在这一点上是相同的。
3.4审计结果可以借鉴
从信息系统审计的审计过程来看, 不难发现, 在信息系统审计过程中有一项比较重要的调查就是“被审企业是否存在内部控制”, 这一项调查结果直接影响信息系统审计师后续审计工作的展开, 若是内部控制充分, 则信息系统审计师只需要进行少量的符合性测试和实质性测试, 审计工作量大大减少;若是内部控制不充分甚至于不存在内部控制, 则信息系统审计师需要进行大量的实质性测试甚至于对所有内容进行测试, 若是对一个大型企业大范围的进行实质性测试的话, 审计进度可能会延期。
因此, 我们的信息化内部控制审计就是对企业的内部控制有效性进行的审计活动, 该审计活动最终会出具被审单位内部控制是否有效的审计报告。同样都是对被审单位内部控制有效性进行的调查研究, 不难想出, 这两种审计活动在内部控制有效性审查这一部分存在很多相同的基础调查。所以, 信息化内部控制审计与信息系统审计两者的审计结果是相互通用的。信息系统审计师在审计时, 可以根据内部控制审计的审计结果, 适当地增加或减少内部控制调查的力度;反之, 内部控制审计师在审计时, 可以根据信息系统审计过程中内部控制的调查结果, 决定自己内部控制调查的工作重心。在一项调查工作中发现的问题可以为另一项调查提供线索和思路。需要注意的是, 一项调查结果并不能代替另一项调查, 就好比信息系统审计过程中对内部控制所做的调查并不能够完全代替内部控制审计, 因为两者对内部控制活动的关注程度、关注方面存在着很大的不同, 这也是信息化内部控制审计与信息系统审计的一大不同点。
4信息化内部控制审计与信息系统审计的区别
以上分析可以看出信息化内部控制审计与信息系统审计存在着一定的联系, 但从定义上来看, 两者在审计的对象、内容以及结果都是很大区别的。
4.1审计内容不同
这一点是最显而易见的。信息化内部控制审计的对象是企业的内部控制, 审计师在审查过程中会去重点关注的是被审单位首先是否存在内部控制制度以及制度是否健全;其次, 内部控制制度是否只是摆设, 是否积极主动的去实行;然后是制度是否有效, 最后才是根据审计师观察的结果得出改进意见等。而信息系统审计可能更加关注的就是信息系统是否有效了, 它包括了信息化的内部控制方方面面。
4.2对内部控制的关注程度不同
信息系统审计和内部控制审计都会关注企业的内部控制。但是两种审计模式对内部控制的关注目的是不同的。信息化内部控制审计中, 评价内部控制的目的是为了对内部控制本身的有效性发表审计意见;而信息系统审计评价内部控制只是为了评估被审单位对风险是否做到了有效控制。如果信息系统审计师不想审查被审单位的内部控制, 他可以不做。然而信息化内部控制审计却不能做到这一点, 这也是两者之间的一大不同。
4.3审计结果不同
根据其定义, 信息化内部控制审计中, 审计师会出具关于内部控制有效性的意见。在信息系统审计中, 审计师会对相关信息系统运行做出判断, 并提出意见。两者出具的是完全不同的两种报告, 所以说内部控制审计与信息系统审计的审计结果不同。
5总结
信息化时代已然来临, 随着计算机的普及与应用, 完全脱离计算机进行审计的审计活动是不存在的。如上分析, 信息化内部控制审计与信息系统审计存在许多的共同点, 而且相关的基础调查、结论等可以共用, 可以考虑将信息化内部控制审计与信息系统审计做一个适当的整合, 减少审计工作的冗余, 更加高效、正确地完成审计工作。
摘要:企业内部控制审计与信息系统审计都是以防范风险、有效监管为主要目的, 来构建全方位的企业管理过程的控制体系。但是由于信息技术渗透到企业管理的每一个过程, 使得两者的审计界限变得模糊。为了分析两者的区别和联系, 本文将从内部控制审计和信息系统审计的基本概念出发, 阐述它们各自的审计对象、审计内容以及审计结果, 以此说明两者的异同点。
关键词:信息化,审计,内控
参考文献
[1]骆良彬, 张白.企业信息化过程中内部控制问题研究[J].会计研究, 2008 (5) .
[2]陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究, 2007 (01) .
审计信息化与审计组织方式 篇10
1 传统审计组织方式存在的问题
1.1 与审计信息化发展的趋势不相适应
传统的审计组织都以人工作业为主, 工作缺乏健全完善的制度指导, 忽视了信息化建设必要的技术手段, 且没有推行动态管理的办法, 重复审计与盲区问题较为突出, 工作效率低下, 影响了审计的水平和效果。从业务实施上而言, 资源数据无法整合在一起, 处理问题较为滞后。
1.2 与组织形式的扁平化发展相违背
以往的审计组织方式相对孤立, 组织目标较为淡化, 只有多个部门的协调配合才能改变相互不符的现状。但是过于落后的审计方式无法关注更多部门的运转, 跨部门协作成为空谈, 与扁平化组织体系相违背。
1.3 无法培养出更多高素质的人才
审计的人工手动方式在安排审计项目的过程中, 基本上都是各自为政, 无法打破传统规划限制, 人才资源也得不到整合。企业在实际工作中不能更好协调起来, 组织型企业成为空谈, 且固有思维束缚下的审计工作缺乏人才培养的有效方法, 不利于企业的发展。
2 审计信息化对审计组织方式的影响
2.1 现场审计实施系统 (AO)
现场审计实施系统是国家审计信息系统的重要组成部分, 是审计人员开展计算机审计、强化审计项目管理、实现审计信息共享的重要系统, 目前已成为各级审计机关审计人员现场审计的必备工具。现场审计实施系统提供了多套审计作业操作模式, 审计人员只要掌握一定的SQL数据库知识、编写审计脚本语言就能查证电子数据, 其中自动化的审计功能使庞大的数据审核工作瞬间完成。同时现场审计实施系统还提供了项目管理功能, 可以实现审计项目从发出审计通知书到出具审计报告一整套审计流程管理, 是控制审计项目质量的基础。
2.2 审计管理系统 (OA)
管理系统属于审计信息化内部网络中的一种, 对实施审计项目、做好分类处理起到积极的作用。在实际操作过程中, 需要审计人员到现场进行调查, 确立主管机构, 把握好独立项目的进展情况, 然后做好实时交互, 才能提高审计管理的效率, 提高控制能力。
2.3 联网审计系统
联网审计系统是现代化审计的新形式, 它主要是借助网络, 在信息交互作用后, 对数据与资料进行采集与测评, 可以在测算基础上实现动态分析, 并保证财务信息的真实性与合法性。另外, 作为推动审计发展与信息化建设的必由之路, 还处于发展的初期, 需要不断完善信息化技术与配套法律。
3 满足审计组织方式的具体变革途径
从上述内容中, 我们能够直观清晰地认识到审计信息化对审计组织方式带来的影响, 以及传统组织方式存在的不足。为了突出信息优势, 真正实现高效审计, 可以从以下方面入手。
3.1 调整与信息化不适应的审计项目组织方式
在信息化技术发展背景下, 由于有些审计项目在组织方式上还不能适应良好的发展模式, 所以就要调整该审计项目的组织方式。被审计单位实施联网审计后, 要提高审计效率, 就要采取“一次通知审一年”的方式, 即年初下一份审计通知书, 实际审计时间为当年全年。审计机关只需抽调几名计算机审计骨干, 每天、每周或定期查看, 发现问题及时调查, 既节约了人力资源又提高了审计质量。
3.2 调整与信息化不适应的审计程序
联网审计方式对传统的审计程序, 如审计期限、审计程序以及通知书等法定程序都产生较大冲击。但从根本上说, 联网审计并没有对审计法构成实质性影响, 因为审计法并没有限定被审计单位提供资料的形式或频率。为了适应信息技术对审计工作带来的变化, 审计署可以通过制定部门规章的形式制定出适应信息建设发展的审计程序。
3.3 改进项目管理以提高审计工作的质量
管理是有效审计与审计组织优势发挥的基础, 在信息化审计的实施下, 要重视管理, 对全过程实施控制, 包括项目审计的内容、计划、准备实施、报告等, 分阶段实施管理, 科学应用软件系统, 并利用好现场审计系统, 以现场审计为轴线, 不断提高审计的质量。
3.4 通过全新的考核方式推进组织方式的落实
考核是组织方式可以有效落实的基础, 也是完善管理、坚持系统变革的关键。目前, 审计组织方式在审计信息化的影响下, 不断发生变化, 相应的考核对策势必也要创新。具体而言, 企业要鼓励使用新技术, 对审计信息资料的完整性提出更高的要求, 确保及时发现数据中的错误和漏洞, 加大考核权限与比重, 并对考评结果进行全方位的审核。与此同时, 还要建立具备较好综合能力的审计队伍, 对他们进行后续教育, 集中培训与教授信息化知识, 提高理论和操作水平, 在聘用过程中要把好关, 引进接受过专业培训的毕业生, 培养更多的复合型人才。
4 结语
总而言之, 在新技术的推广应用下, 企业与政府都要改革审计工作, 基于信息化背景和组织方式推广新的审计对策, 严格管理与革新技术。基于传统审计方式存在的不足, 还要分析审计信息化对组织方式产生的具体影响, 积极调整与信息化不适应的审计程序, 改变考核方式, 从而落实严格审计与科学化审计, 有效提高工作效率。
摘要:随着我国经济的迅猛发展以及现代化技术的推广与使用, 无论是企业还是政府工作, 都发生了根本性变革, 尤其是作为监督重点工作的审计工程, 在新时代背景下出现了新趋势。所谓的审计信息化, 是基于信息技术的一种审计方法, 它与计算机、互联网的应用密切相关, 从某种程度上而言, 审计信息化是对全过程审计的综合应用, 带动审计组织方式的革新, 也是结构调整的一种尝试。审计信息化的革新, 对实际工作提出了更大的挑战, 政府在考核标准、操作技术、限制任务上都或多或少有所更改, 企业各个部门必须适应信息化审计带来的巨大影响, 不断适应新技术。笔者就从审计信息化入手, 从其对审计组织方式存在的影响分析, 从而提出审计组织工作的要点, 确保企业内部与外部协调发展。
关键词:审计,信息化,审计组织方式
参考文献
[1]河南省审计厅课题组.信息化条件下国家审计业务组织管理模式创新研究[J].审计研究, 2013 (2) :3-9.
[2]湖北省审计学会课题组, 焦跃华, 别必爱.省直管县财政体制条件下审计组织方式研究[J].审计研究, 2014 (3) :3-8.
[3]陈冬梅, 刘彦军, 王红霞, 等.企业内部审计信息化建设研究[J].中国内部审计, 2014 (8) :70-73.
[4]湖北省审计学会课题组.信息化条件下审计组织方式创新研究[J].审计月刊, 2016 (2) :4-7.
[5]审计署兰州特派办理论研究会课题组, 胡大华, 焦龙.大型审计项目组织方式的实践经验和创新思路[J].审计研究, 2015 (2) :29-35.
试论网络时代的审计创新 篇11
一、审计思维的创新
审计思维的创新是审计创新体系中最为关键、最基本的环节,离开了审计思维的创新,一切将无从谈起。我国审计的思维创新应该从以下几方面入手:
1审计观念创新——实时审计。电子技术的应用,带来了会计信息的生成和披露的革命,会计分期假设受到了普遍的质疑,信息使用者对信息及时性的要求普遍提高,实时信息披露受到了普遍的欢迎。审计作为一项有力的监督工具,自然也有责任对实时生成的会计信息进行实时监督,保证实时披露的会计信息的真实性和完整性,维护会计信息使用者的合法权益。实时审计可以弥补事后审计线索不充分的缺陷,也可以促使审计人员参与被审计信息系统的分析与设计。
2审计工具创新——电子审计。计算机的应用给审计工作提供了极大的方便,审计人员再也不用受传统纸张凭证的约束,审计资料的收集、处理、存储以及输出都可以在计算机中方便快捷地进行。此时,审计人员再也不用花费大量的时间去搜集、整理、汇总账务资料,而是大胆地建立电子审计的观念,大胆应用高科技手段,用更多的精力进行审计分析、审计判断,提高审计工作效率,强化审计工作质量。
3审计平台创新——在线审计。将网络应用于审计工作的观念就是在线审计的观念,审计工作将不再受物理距离和时间的限制。审计人员可以进行在线作业,进行联网审计。审计人员将有自己的网络身份,可以网上执业,进行审计监督和会计咨询,也可以在网上发布其审计报告。最近,审计署组织的《金融危机对中小企业影响》审计调查,就很好的利用了网络这个在线审计的平台,使用审计内部网络和网线网卡等新技术,在20天内就安全高效完成了审计任务。
二、审计手段的创新
审计手段的创新主要应从网络审计入手。随着信息的社会化和网络化,经济实体将突破原有空间,进入一个崭新的媒体、网络世界,衍生出众多“无国籍”、甚至虚拟化的经济实体,经济实体间也由厂房、设备、资金等“硬件”的竞争转向知识、信息、管理等“软件”的较量。这种存在方式和竞争于段的进化,既加速了传统会计体系和技术方法的消亡,又催化了会计审计技术和手段的创新。一方面可以使会计报表、财务报告实时生成,更好地服务于信息需求;另一方面审计人员也能随时完成必要的审计测试,实现审计的实时监督,保证会计信息的质量。因此,在不久的将来,实时审计将取代事中、事后审计,网络审计也将取代就地审计、报送审计。而要完成这种替代,以下条件是必不可少的:
1审计资料的共享。在一个有效的审计体制中,不同主体之间的审计信息应该是可以相互援引的,而在网络经济环境下这一点也完全是可能的。一方面可以通过国家的有关法规明确各监督机构的职责范围,建立一个统一的监督信息中心,加强审计系统与其他监督系统的信息交流,做到资料共享;另一方面也可以以审计署为中心,组建全国性的审计网络,例如:在审计署的网站中链接各个省市的审计网站,强化审计系统内部的纵向和横向信息传输,实现信息互用。
2审计软件的开发。一个科学可用的审计软件,首先,应该具有对被审计单位财务数据的兼容和自主实时采集功能,如现在开发建设的金审工程,能够很好的和金财工程、金税工程进行兼容。其次,要能全面系统的完成一个审计项目,如AO审计系统,就具有以下功能:一是管理功能,从审计项目的计划立项、方案制定、审计实施,到下达审计结论,再到档案的归存,都应该能自动完成,实现无纸化审计;二是检测功能。对审计客体财务会计及相关软件进行检测,采集有价值的会计审计信息;三是评估功能,根据输入的数据,能对被审计单位的内部控制制度进行评估,对被审计单位财政财务收支的真实、合法、效益情况进行评价;四是分析功能,就是对审计中发现的疑点。能够进行审计分析,对比现有的法规库,发现账务中存在的问题;五是控制功能,能根据审计人员的不同职责,规定和设置其审计权限。
三、审计业务的创新
审计业务的创新是审计创新体系中最为核心的内容,一切创新最后都必然会以业务创新的形式表现出来。离开了审计业务的创新,其他创新的结果将不复存在。在信息经济的条件下,审计业务创新主要表现在其作业方式上的创新。
1、计算机辅助审计技术的广泛推行。计算机辅助审计是指审计人员利用计算机对被审计单位进行审查,以确定其处理和控制功能是否可行,该技术是实现计算机信息系统环境下审计的主要手段。面对客户复杂的计算机应用系统。特别是管理信息的网络化,没有计算机的辅助。审计人员根本无法下手;对于大型集团单位的某些审计工作,如试算表及会计报表的形成、分析性复核及审计抽样等,脱离了计算机的辅助也将难以进行。计算机辅助审计技术的运用既提高了审计的正确性和准确性,也使审计人员从冗长乏味的计算工作中解放出来,有助于提高审计工作的效率。降低审计成本;计算机辅助审计技术的使用可帮助审计人员扩展审计的范围,扩展至其他媒介;计算机辅助审计技术具有相当大的机动灵活性。能使微型计算机在一位审计人员的控制下就能对会计事项进行全面、迅速、经济、有效的分析。
2、与审计结论使用部门的联网审计。在传统审计中,特别是经济责任审计中,尽管审计活动是接受组织部等部门的委托而进行的。但是。整个审计过程则是审计人员根据自己的职业判断在对被审计单位有关资料审查的基础上做出审计结论报告的过程。而组织部等使用审计结论的部门则无缘这一过程。实现审计与被审计结论使用部门的联网审计则可以让使用部门参与到审计活动中来。及时地向审计人员反馈自己的想法和要求,从而,实现了审计信息供给者与需求者更加快捷、更加直接的接触。这无疑对于提高审计工作效率、审计报告的针对性、可用性和审计报告质量都有很深远的意义。
3、注重审计分析性系统开发。随着计算机审计目标的不断扩大,仅仅具有查账功能的传统审计。将远远不能满足计算机审计的要求。未来的计算机审计将向分析型方向发展,并将开发出分析系统审计软件。在对磁性数据文件内容进行真实性和合法性审计的基础上,通过建立适当的审计模型,对各种经济指标进行定量的分析与评价。此外,一种建立在会计电算化和计算机人工智能技术基础上的计算机审计软件系统——审计专家系统也将被开发出来。该软件用于模拟审计专家的审计工作中的思维和推理。代替审计人员完成全部或部分审计任务,从而使计算机分析业务成为计算机审计的主要业务之一。
4、财务成果形成过程审计逐步展开。随着数字经济时代的到来,作为独立的专门从事经济监督、评价、鉴证活动的数字经济审计必将大大发展。从而,审计的主要工作将不再停留在对企业财务状况及其经营过程所取得成果的数字本身的审计,而应过渡到对企业财务状况及其经营过程所取得成果的数字的形成过程进行的审计。对财务成果形成过程审计,能及时、真实的反映被审计单位的财务状况,满足需求者的要求。
网络信息审计 篇12
审计模式是审计导向性的目的、范围和方法等要素的组合,它规定了如何分配审计资源、如何控制审计风险、如何规划审计程序、如何收集审计证据、如何形成审计结论等问题。审计环境、审计风险以及审计需求的不断变化,促进了审计模式和方法的不断发展和完善。审计模式的发展是不断适应审计信息需求方需求以及审计信息供给方不断自我完善的过程。在传统审计模式下注册会计师直接对被审计单位采取控制测试和实质性测试,往往会因为不从宏观层面上了解企业的性质、目标、经营战略和相关的经营风险,以及与企业相关的行业状况、监管环境等情况,容易犯下“管中窥豹”的错误,特别是当企业的管理当局串通舞弊或以其他方式凌驾于内部控制制度之上时,传统审计方法更是很难规避。21世纪初,安然、世通、琼民源等重大财务欺诈案例不断出现,导致社会对审计职业产生了严重的怀疑,社会公众不约而同地质问“审计师在哪里”,因此一种既能保证审计质量又能提高审计效率,同时还能满足审计信息使用者需求的审计方法成了必然趋势。风险导向审计核心思想是认为审计风险主要来源于企业财务报告的重大错报风险,而错报风险主要来源于整个企业的经营风险和舞弊风险。它通过综合评估经营控制风险来确定检查风险,从企业的整体层面分析着手,通过对重大错报的评估来决定进一步审计程序的性质、时间和范围,并建立企业财务报表风险与企业经营风险之间的逻辑关系,所涉及的范围比传统的审计模式更宽,分析对象扩大到企业面临的整个风险管理范围,更符合现代审计所处的社会环境,促进审计人员能更好地达到财务报表审计的目标,也更能满足审计信息利害关系人以及独立审计供给方的要求。
二、从审计信息需求看风险导向审计
(一)审计信息需求的主体分析。
任何事物都是基于某种客观需要,在特定条件下产生并遵循一定的规律向前发展演进的,作为社会经济活动中重要组成部分的审计亦是如此。
1. 企业对审计信息的需求。
审计是商品经济发展到一定程度时,随着企业财产所有权与经营权的分离而产生的。企业财产所有者通过制定契约(如公司章程,契约协议,奖励计划,补偿成本等)限制管理层自身机会主义行为。这一系列契约是否得到有效执行需要管理层对此进行监督,只要监督活动的边际收益超过边际成本,所有者就有动机聘请审计师进行监督,以降低代理成本。因此,出于降低代理成本的目的,企业所有者或者股东自愿需要审计信息。
2. 社会公众及其他利益相关者对审计信息的需求。
随着资本市场快速发展,企业融资渠道进一步拓宽,公司股权逐步分散,企业管理层的责任范围也从原来只对股东和债权人负责扩大到包括诸多利益相关者,诸如债权人、现实或潜在投资者等社会公众以及其他利益相关者都迫切需要了解公司的财务状况、经营成果以及现金流量以作出相应的经济决策。由于信息不对称,管理层提供的财务信息的真实与公允就变得尤为重要,这时就需要引入外部的独立第三方进行监督并缓解信息不对称,因此产生了对独立审计的需要。这一部分的审计信息需求者虽然并不承担审计费用,但总是希望最大限度的符合自身的利益,因此对审计信息质量反而提出更高的要求,以帮助其作出相应经济决策。我国审计准则规定,在财务报表审计业务中,注册会计师作为独立的第三方,运用专业知识、技能、经验对历史财务信息进行审计并以积极的方式发表专业意见,旨在提高财务报表的可信赖程度。虽然审计环境在不断变化,但是审计的本质目标却没发生改变,为了达到这个目标,审计的方法和范围却在相应的变化。20世纪以来,科学技术突飞猛进以及全球化的快速发展,使企业面临的经营风险不断增加,企业财务欺诈案例也频频发生,社会公众对审计人员的指控案件也越来越多。在新的审计环境以及社会需求的压力下,审计人员要合理的保证财务报表的合法性和公允性,就不得不充分把握被审计单位内外部的情况,通过多渠道收集充分适当的审计证据以支持审计结论,但是内控导向审计模式固有的局限性限制了审计人员的视野,它的缺陷使得审计人员难以满足社会公众及其他利益相关者的需求,因而也不断受到诉讼的威胁。注册会计师为了提高审计的功效,开始探索和开发新的审计方法,风险导向审计模式便随着审计环境和审计实践的发展应运而生。
3. 政府及法律法规对审计信息的需求。
政府对审计信息的需求是通过法律法规的形式表现出来的,因此政府对审计信息的需求是强制性的需求。实际上在我国社会主义市场经济的环境下,政府规范对高质量的审计信息供给产生十分重大的影响。从我国恢复注册会计师制度以来,有关部门针对注册会计师审计行业颁布了一系列法规。最早的是1980年财政部颁布的《中华人民共和国中外合资经营企业所得税法实施细则》,规定外资企业会计报表要由注册会计师进行审计,这是我国第一批关于审计信息的法定需求;2005年第十届全国人民代表大会常务委员会第十八次会议通过的新《公司法》第一百六十五条规定公司应当在每一会计年度终了时编制财务会计报告,并依法经会计师事务所审计;同年修订的《中华人民共和国证券法》第五十二条规定股份有限公司申请股票上市交易,应当向证券交易所报送依法经会计师事务所审计的公司最近三年的财务会计报告;2010年11月1日,由财政部发布修订后的38项中国注册会计师执业准则,自2012年1月1日起施行,从审计信息供给方的角度规范注册会计师的执业行为,提高执业质量,维护社会公众利益,促进社会主义市场经济的健康发展。要求注册会计师按照《中国注册会计师审计准则》执行财务报表审计工作,确立了注册会计师的总体目标,明确了注册会计师为实现总体目标而需要执行审计工作的性质和范围,以及在执行财务报表审计业务时承担的责任。政府及法律法规对审计信息的强制需求推动了高质量审计信息的供应。
(二)审计信息需求的影响因素。
根据经济学对需求的定义,我们可以将审计信息利益集团在某一特定时间内在每一价格下对审计服务愿意而且能够购买的数量称为审计需求。对审计服务具有购买意愿且具备支付能力才能构成有效的审计需求。审计服务的需求量是由许多因素决定的,除了随机因素的影响外,通常影响审计需求的因素有:审计服务的价格、相关服务价格、审计信息利益集团的支付能力、审计信息利益集团的偏好。
在一般情况下,审计服务的价格与需求量呈负相关状态,审计服务的价格越高,需求量就会越少,审计服务的价格越低,需求量就会越大;从相关服务价格角度考虑,在资本市场上,除了审计师提供有助于增进财务信息价值的服务,还有其他信息提供者竞争,如果具有替代性质的相关服务价格的上升,则会引起审计服务的需求量增加;审计信息利益集团的支付能力是对审计服务购买意愿的一种限制,缺乏支付能力的购买意愿只是反映需求者的良好愿望,并不能构成有效的审计需求。审计利益集团的支付能力越强,对审计信息的需求量就会增加;审计信息利益集团的偏好引导着审计信息供给的方向,是推动审计服务供给发展的内在动力,审计信息利益集团对某种审计信息的偏好程度增强,则这种审计信息的需求量便随之增加。早期的审计目标是查错防弊,审计信息利益集团通过审计来了解管理层履行职责的情况。但随着经济环境和审计实践的发展,审计人员被重新定位为“看门人”,审计人员从内部控制入手进行抽样审计,仅仅对财务报表的真实公允发表意见。到20世纪后期,在高经营风险和不确定性的环境下,因企业经营失败或管理层当局舞弊破产倒闭的事件大量出现,审计信息利益集团对审计人员的期望越来越高,不仅要求审计人员对财务报表的真实公允发表意见,还要求他们查找重大的错误和舞弊,审计人员只能转变为“经济警察”,承担起信息风险降低的责任。在这个过程中,审计需求在不断变化,并要求审计信息的供给去适应实现变化的需求。
三、从审计信息供给看风险导向审计
(一)审计信息供给的影响因素。
供给和需求是相对的概念,审计供给是指审计师在某一特定时间内每一价格下对审计服务愿意而且能够提供的数量,只有在审计人员既有意愿又有能力提供时才构成有效的审计供给。作为独立审计市场的供给方,注册会计师审计是市场经济的衍生品,其提供的审计服务应来自市场的需求,只有高质量的审计服务需求才有可能促使会计师事务所提供高质量的审计服务。
审计供给受许多因素影响,一般认为有:审计信息价格、相关服务价格、审计技术能力、提供审计信息的成本。基于理性经济人的基本前提,审计信息的价格与需求量呈正相关状态,即审计信息价格越高,供给量就会越大;相反,审计信息价格越低,供给量则会越小。从相关服务价格的角度考虑,如果具有替代性质的相关服务价格上涨而审计信息价格没有变动,或者审计信息价格上涨幅度低于相关服务价格,在理性经济人假设和资本逐利原则前提下,则审计师就会转而投入利润更高的相关服务,使得审计信息的供给量减少。
(二)审计的技术能力。
需求能否得到满足,还要受到技术水平的制约。如果在技术方面无法实现,那么这种需求也不能成为有效的需求。回顾审计的发展历程可以看出,相对于审计需求而言,审计的供给始终处于被动的状态。在早期以查错防弊为主要审计目的阶段,注册会计师采用账项基础审计模式,以公司的账簿和凭证作为审查的出发点,对会计账簿记录进行逐笔审查,检查各项分录的有效性和准确性,以获取审计证据。到20世纪40年代以后,随着社会和经济的发展,经济业务急剧增加,会计账目增多,企业建立起了内部控制制度。审计信息使用者在关注企业经营管理活动的同时也日益希望了解企业的内部控制情况,审计目标也逐渐从揭弊防错发展到对财务报表发表意见,因此早期账项基础审计模式越来越不可行,为了确保审计质量提高审计效率,必须寻找更为可靠和有效的审计方法,进而发展为内控导向审计模式。20世纪70年代以来,全球化形势下经济环境的剧变使得企业经营风险加剧,管理层舞弊案件也是有增无减,这些管理层欺诈给财务报表的使用者带来了巨大的损失,人们不禁要问:如果排除审计人员独立性风险,审计人员从技术上究竟能否发现企业可能存在的重大欺诈和舞弊?如果审计人员不能改进其审计技术以满足社会需求,其审计服务的社会价值究竟何在?面对审计环境的变化以及社会公众的压力,注册会计师采用内控导向审计模式在规避三类审计风险———误报、违法舞弊和经营失败方面表现出的审计技术力不从心,因此加快了审计职业界对新的审计方法的探索。1994年左右,一个看似简单的观点引起审计职业界的注意:经营风险驱动审计风险。也就是说任何影响审计客户实现其经营目标的潜在风险,都可能是审计风险的来源。注册会计师审计逐渐从内控导向发展到风险导向审计。在风险导向审计模式下,审计人员既关注和评估企业内部控制风险,又关注和评估企业所面临的外部风险,通过对重大错报领域的评估针对性的设计审计程序,收集审计证据,使审计风险的控制更加科学有效。从审计模式的变更可以看出,如果审计方法无法为满足审计需求提供保障和支持,则审计需求只能成为一种愿望,只有在技术上可行时,审计需求才有可能实现。审计技术与审计需求的矛盾运动推动着审计技术的不断发展。
(三)提供审计服务的成本。
审计供给方在向需求者提供审计信息服务时必然会付出一定的代价,这个代价就是为完成审计工作所耗费的成本以及审计风险的控制成本。审计需求最终得以实现,不仅要有提供审计服务的技术保障,还需要符合审计供给方的“成本—效益”原则。如何在满足审计信息使用者要求的同时在现有的条件下降低审计成本、提高审计效益是审计界始终关注的问题。我国学者王会金认为,降低审计成本一个可行的途径在于通过探索开发新的审计模式来提高审计效率,最大限度地降低审计成本支出。
由于风险导向审计模式所涉及的范围比内控导向审计模式更宽,分析对象扩大到整个企业的风险管理范围,对风险的评估除了包括财务报表项目本身的风险外,更多地考虑企业的经营分析,通过对被审计单位的经营风险评估,寻找与经营风险直接或间接相关的高风险审计项目,从而集中力量揭露重大错报和舞弊,最大限度地降低检查风险,使得审计风险降低到可以接受的水平。采用风险导向审计模式,在风险评估阶段所耗费的审计资源势必较以往审计模式会相应增加,但是根据Turley教授的研究表明,一开始转换审计的成本非常高,但是这个成本可以在以后逐渐消化。现代风险导向审计并不是最昂贵的审计。如果不进行风险分析,只进行细节测试,细节测试将会变得盲目且缺乏合理的基础。风险导向审计根据对风险的评估确定存在重大错报风险的领域,针对性的实施审计程序,减少“地毯式”审计造成的审计浪费,把更多的审计成本投入到关键的审计重点上,在审计效率和审计质量之间寻找均衡点。
四、结论
审计信息的供给和需求是相对应的概念,企业自身对审计信息的自愿性需求、社会公众及其他利益相关者对审计信息期望以及政府通过法律法规对审计信息的强制性规定推动着高质量审计信息的供给,促使审计职业界不断的探索适应公众需求的审计模式。
摘要:审计环境的变化使得审计信息需求者的需求不断变化, 需求的变化推动着审计信息供给的变化, 审计信息供给方在研究需求方需求变化的同时通过改善自身审计技术, 促进了审计模式的发展。风险导向审计模式的产生和发展, 是以审计信息需求者的需求和需求的变动为轴心, 是审计信息需求方与审计信息供给方之间的矛盾运动而达到动态平衡的产物。
关键词:风险导向审计,审计主体,审计信息需求,审计信息供给
参考文献
[1].刘明辉.审计[M].大连:东北财经大学出版社, 2012.
[2].胡春元.风险导向审计[M].大连:东北财经大学出版社, 2009.
[3].王会金, 刘瑜.风险导向审计缺陷与现代模式的抉择[J].审计与经济研究, 2006, (2) .